핵심 인사이트 (3줄 요약)

  1. 본질: 스위치의 성능과 보안을 관리하는 두 가지 핵심 부가 기능으로, **에이징(Aging)**은 MAC 주소 테이블의 최신성을 유지하는 기억 관리 기법이며, **포트 미러링(Port Mirroring)**은 트래픽을 복사해 분석기나 방화벽으로 보내는 감시 기법이다.
  2. 에이징 메커니즘: 스위치는 포트에 연결된 장비가 오랫동안(보통 300초) 통신하지 않으면 해당 MAC 주소를 테이블에서 지워버려(Aging Out), 장비 이동에 동적으로 대처하고 한정된 CAM 메모리를 절약한다.
  3. 미러링의 필요성: 스위치는 목적지로만 프레임을 포워딩하므로, 관리자가 1번 포트와 2번 포트 간의 통신을 엿볼(패킷 캡처) 방법이 없다. 이를 해결하기 위해 특정 포트의 트래픽을 분석용 3번 포트로 몰래 복사해 주는 포트 미러링(SPAN) 설정이 필수적이다.

Ⅰ. 개요 및 필요성 (Context & Necessity)

  • 개념:

    • Aging: 스위치가 한 번 학습(Learning)한 MAC 주소 정보를 무한정 보관하지 않고 타이머를 돌려 스스로 지우는 기능.
    • Port Mirroring: 스위치 내부에서 특정 포트(또는 VLAN)를 오가는 송수신 데이터를 다른 지정된 포트로 거울처럼 그대로 복사해 주는 스위치 관리 기능(Cisco에서는 SPAN이라고 부름).

  • 필요성:

    • 만약 에이징이 없다면, 직원이 노트북을 1층(포트 1)에서 빼서 2층(포트 2)에 꽂았을 때, 스위치는 여전히 1층으로 데이터를 보내 통신이 단절될 것이다.
    • 만약 포트 미러링이 없다면, 네트워크에 이상 트래픽(해킹, 웜 바이러스)이 돌 때 스위치가 데이터를 당사자에게만 은밀하게 꽂아주기 때문에, 관리자가 패킷 분석기(와이어샤크)를 달아도 범인을 잡을 수가 없다.

  • 💡 비유:

    • 에이징: 호텔 로비 직원이 투숙객 명단을 관리할 때, "이 손님이 일주일 동안 로비에 안 나타나면 체크아웃한 것으로 간주하고 수첩에서 지우는(Aging)" 규칙입니다.
    • 포트 미러링: 경찰이 용의자(1번 포트)의 전화를 도청하기 위해, 전화국(스위치)에 협조를 구해 용의자의 통화 내용을 경찰서(3번 포트)로 똑같이 복제(Mirroring)해서 듣는 것입니다.

📢 섹션 요약 비유: 에이징은 스위치의 한정된 뇌 용량(메모리)을 지키기 위한 **"망각의 기술"**이고, 포트 미러링은 스위치라는 닫힌 상자 속을 들여다보기 위한 **"CCTV 설치"**입니다.

Ⅱ. 에이징과 포트 미러링의 동작 원리 (Deep Dive)

1. Aging 타이머의 동작

스위치가 MAC 주소를 학습할 때마다 해당 엔트리에 대해 **타이머(기본값 300초)**가 돌기 시작한다.

  • 타이머 초기화 (Refresh): 300초가 지나기 전에 해당 MAC 주소로부터 또다시 데이터가 들어오면, 타이머는 다시 300초로 초기화된다.
  • Aging Out: 300초 내내 단 한 번의 데이터도 보내지 않으면 타이머가 0이 되고, 스위치는 지체 없이 해당 MAC 주소를 테이블에서 삭제한다. 이후 해당 MAC으로 향하는 데이터가 오면 스위치는 목적지를 모르므로 모든 포트로 플러딩(Flooding)하게 된다.

2. Port Mirroring의 구조와 활용 (SPAN)

허브(Hub) 시절에는 그냥 PC에 와이어샤크를 켜놓기만 해도 동네방네 퍼지는 남의 패킷을 다 주워 담을 수 있었다(Promiscuous Mode). 그러나 스위치 환경에서는 유니캐스트 데이터가 내 포트로 오지 않기 때문에 스위치 설정에 들어가 강제로 복사 명령을 내려야 한다.

 ┌─────────────────────────────────────────────────────────────┐
 │                 포트 미러링(Port Mirroring) 구조                │
 ├─────────────────────────────────────────────────────────────┤
 │                                                             │
 │   [ PC A (서버) ] ────▶ (Port 1: Source Port)                │
 │                           │ 스위치 내부에서                   │
 │                           │ 데이터 복사 발생!                  │
 │                           ├─────────────┐                   │
 │                           ▼             ▼ (복사본)           │
 │   [ PC B (클라) ] ◀──── (Port 2)       (Port 3: Dest Port)  │
 │                                         │                   │
 │                                         ▼                   │
 │                                    [ 패킷 분석기 (IDS/IPS) ]   │
 │                                     (Wireshark 모니터링)      │
 │                                                             │
 │ * 관리자 설정: "Port 1로 들어오고 나가는 트래픽을 Port 3으로 복사하라!"│
 └─────────────────────────────────────────────────────────────┘
  • Source Port (소스 포트): 감시의 대상이 되는 포트. (주로 라우터와 연결된 포트나 중요 서버가 연결된 포트)
  • Destination Port (목적지 포트): 복사본을 받을 포트. 이곳에는 네트워크 관리자의 노트북이나 IDS(침입 탐지 시스템)가 연결된다. 이 포트는 오직 모니터링 수신 전용으로만 쓰이며, 일반적인 데이터 송수신은 차단된다.

📢 섹션 요약 비유: 에이징이 **"쓸모없는 주소록을 파쇄기에 넣는 주기적인 대청소"**라면, 포트 미러링은 범죄 수사를 위해 우체국에서 편지를 배달하기 직전 **"편지 내용을 똑같이 복사기(복사본)로 떠서 수사관에게 넘겨주는 극비 작전"**입니다.